今天我把自己的SpringBoot项目上传到了GitHub,于是murphysec安全扫描平台扫描到了我的代码安全问题,如下

漏洞标题:Oracle MySQL Connectors组件访问控制错误漏洞
漏洞编号:CVE-2018-3258
漏洞描述:
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。
Oracle MySQL中的MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞。攻击者可利用该漏洞控制组件,影响数据的保密性、完整性和可用性。
国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2019-39877
漏洞级别:高危
影响范围:(-∞, 8.0.13)
最小修复版本:8.0.13
引入路径:mysql:mysql-connector-java@

国家漏洞库信息:https://www.cnvd.org.cn/flaw/show/CNVD-2019-39877

具体漏洞信息:NVD - CVE-2021-2471

CVE-2021-2471 Detail

Current Description

Vulnerability in the MySQL Connectors product of Oracle MySQL (component: Connector/J). Supported versions that are affected are 8.0.26 and prior. Difficult to exploit vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Connectors. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all MySQL Connectors accessible data and unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Connectors. CVSS 3.1 Base Score 5.9 (Confidentiality and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:H).

上述话翻译成人话就是:Oracle MySQL的MySQL连接器产品(组件:Connector/J)存在漏洞。受影响的支持版本为8.0.26及之前的版本。难以利用的漏洞允许具有网络访问权的高权限攻击者通过多种协议破坏MySQL连接器。成功攻击该漏洞可导致未经授权访问关键数据或完全访问所有MySQL连接器的可访问数据,以及未经授权导致MySQL连接器挂起或经常重复崩溃(完全DOS)的能力。

Oracle MySQL 的Connector/J JDBC驱动 < 8.0.27版本在处理XML数据时存在外部实体注入漏洞(XXE),可能导致敏感数据泄漏。 漏洞原因: MySQL Connector/J 8.0.27版本之前,MysqlSQLXML中的getSource()方法未对传入的XML数据做校验,导致攻击者可以在XML数据中引入外部实体,造成XXE攻击。

为此我还找到了近些年(2018年)漏洞排行Oracle MySQL Risk Matrix,        此Connector/J漏洞排行第三

原漏洞排行链接:Oracle Critical Patch Update - October 2018

CVE# Product Component Protocol Remote Exploit without Auth.? CVSS VERSION 3.0 RISK (see Risk Matrix Definitions) Supported Versions Affected Notes
Base Score Attack Vector Attack Complex Privs­Req'd User Interact Scope Confid­entiality Inte­grity Avail­ability
CVE-2018-11776 MySQL Enterprise Monitor Monitoring: General (Apache Struts 2) HTTP Yes 9.8 Network Low None None Un- changed High High High 3.4.9.4237 and prior, 4.0.6.5281 and prior, 8.0.2.8191 and prior
CVE-2018-8014 MySQL Enterprise Monitor Monitoring: General (Apache Tomcat) HTTP Yes 9.8 Network Low None None Un- changed High High High 3.4.9.4237 and prior, 4.0.6.5281 and prior, 8.0.2.8191 and prior
CVE-2018-3258 MySQL Connectors Connector/J X Protocol No 8.8 Network Low Low None Un- changed High High High 8.0.12 and prior
CVE-2018-1258 MySQL Enterprise Monitor Monitoring: General (Spring Framework) HTTP No 8.8 Network Low Low None Un- changed High High High 3.4.9.4237 and prior, 4.0.6.5281 and prior, 8.0.2.8191 and prior
CVE-2016-9843 MySQL Server InnoDB (zlib) MySQL Protocol No 8.8 Network Low Low None Un- changed High High High 5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3155 MySQL Server Server: Parser MySQL Protocol No 7.7 Network Low Low None Changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3143 MySQL Server InnoDB MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3156 MySQL Server InnoDB MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3251 MySQL Server InnoDB MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3182 MySQL Server Server: DML MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 8.0.12 and prior
CVE-2018-3137 MySQL Server Server: Optimizer MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 8.0.12 and prior
CVE-2018-3203 MySQL Server Server: Optimizer MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 8.0.12 and prior
CVE-2018-3133 MySQL Server Server: Parser MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3145 MySQL Server Server: Parser MySQL Protocol No 6.5 Network Low Low None Un- changed None None High 8.0.12 and prior
CVE-2018-3144 MySQL Server Server: Security: Audit MySQL Protocol Yes 5.9 Network High None None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3185 MySQL Server InnoDB MySQL Protocol No 5.5 Network Low High None Un- changed None Low High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3195 MySQL Server Server: DDL MySQL Protocol No 5.5 Network Low High None Un- changed None Low High 8.0.12 and prior
CVE-2018-3247 MySQL Server Server: Merge MySQL Protocol No 5.5 Network Low High None Un- changed None Low High 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3187 MySQL Server Server: Optimizer MySQL Protocol No 5.5 Network Low High None Un- changed None Low High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3174 MySQL Server Client programs MySQL Protocol No 5.3 Local High High None Changed None None High 5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3171 MySQL Server Server: Partition MySQL Protocol No 5.0 Network High High None Un- changed None Low High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3277 MySQL Server InnoDB MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3162 MySQL Server InnoDB MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3173 MySQL Server InnoDB MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3200 MySQL Server InnoDB MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3170 MySQL Server Server: DDL MySQL Protocol No 4.9 Network Low High None Un- changed None None High 8.0.12 and prior
CVE-2018-3212 MySQL Server Server: Information Schema MySQL Protocol No 4.9 Network Low High None Un- changed None None High 8.0.12 and prior
CVE-2018-3280 MySQL Server Server: JSON MySQL Protocol No 4.9 Network Low High None Un- changed None None High 8.0.12 and prior
CVE-2018-3276 MySQL Server Server: Memcached MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3186 MySQL Server Server: Optimizer MySQL Protocol No 4.9 Network Low High None Un- changed None None High 8.0.12 and prior
CVE-2018-3161 MySQL Server Server: Partition MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3278 MySQL Server Server: RBR MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3279 MySQL Server Server: Security: Roles MySQL Protocol No 4.9 Network Low High None Un- changed None None High 8.0.12 and prior
CVE-2018-3282 MySQL Server Server: Storage Engines MySQL Protocol No 4.9 Network Low High None Un- changed None None High 5.5.61 and prior, 5.6.41 and prior, 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3285 MySQL Server Server: Windows MySQL Protocol No 4.9 Network Low High None Un- changed None None High 8.0.12 and prior
CVE-2018-3284 MySQL Server InnoDB MySQL Protocol No 4.4 Network High High None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3283 MySQL Server Server: Logging MySQL Protocol No 4.4 Network High High None Un- changed None None High 5.7.23 and prior, 8.0.12 and prior
CVE-2018-3286 MySQL Server Server: Security: Privileges MySQL Protocol No 4.3 Network Low Low None Un- changed None Low None 8.0.12 and prior

MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析相关推荐

  1. 鼎捷易飞7.0、8.0、9.0、9.0.12等各版本下载地址

    易飞ERP能够与PDM.CRM.HR.电子商务.PORTAL等ERPII产品无缝集成.通过引进先进的管理理论,结合中型企业中的特点,在深耕制造管理应用基础上,优化利用企业的人.财.物等资源,为企业构造 ...

  2. 在VirtualBox 5.0.12 for Linux版本上安装CentOS 6.6 x86_64系统

    本博文记录了我在CentOS 6.6 64bit上的VirtualBox 5.0.12上安装一个CentOS 6.6 64bit的过程.我选择这样做的原因,是便于以后安装和验证一下软件. 如果直接在真 ...

  3. Vue组件之间数据通信12种方式

    目录 1.父组件向子组件传递数据 props 2.子组件向父组件传递数据($emit的用法) 3.兄弟组件通信 4.ref / $refs 5.eventBus事件总线($emit / $on) 6. ...

  4. vue组件传值的12种方式

    Vue组件间的12种传值方式 当做到比较大的项目时,一个vue文件里面可能要包含上千行代码,这样不利于后期维护与问题定位,抽离成组件就尤其重要了,我在项目中遇到组件的值如何传递的问题,刚开始接触的时候 ...

  5. angularjs1访问子组件_vue 组件通信看这篇就够了(12种通信方式)

    vue 组件间的通信是 vue 开发中很基础也十分重要的部分,作为使用 vue 的开发者每天都在使用.同时,vue 通信也是面试中非常高频的问题,有很多面试题,都是围绕通信展开. 本文会介绍常见的通信 ...

  6. 今夏发布的Terraform 0.12将提供for循环和第一类表达式

    HashiCorp将于今年夏末发布Terraform 0.12.该版本根据社区输入和反馈中一些广受关注的问题,对Terraform做了一系列新的改进.其中的主要改进包括第一类表达式(first-cla ...

  7. 12、 Flutter Widgets 之 Stack,Positioned叠加组件

    Stack/Positioned是用来做页面布局定位的组件,需要结合使用 Stack children:一个数组,里面可放多个Widget alignment:Alignment.topCenter/ ...

  8. vue2.0 子组件和父组件之间的传值

    Vue是一个轻量级的渐进式框架,对于它的一些特性和优点在此就不做赘述,本篇文章主要来探讨一下Vue子父组件通信的问题 首先我们先搭好开发环境,我们首先得装好git和npm这两个工具(如果有不清楚的同学 ...

  9. vue 子级拿值_Vue 父组件主动获取子组件的值,子组件主动获取父组件的值

    父组件主动获取子组件的值 1. 在调用子组件的时候定义一个ref-> ref="header" 2. 在父组件中通过this.$refs.header.属性,调用子组件的属性 ...

最新文章

  1. TaxonKit:小巧、高效、实用的NCBI分类学数据命令行工具
  2. 玩转车联网1---初识OBD和行车助手
  3. Android 添加菜单项
  4. Android应用程序模块:应用、任务、进程和线程
  5. Python 初学者必看:Python 异常处理集合
  6. 使用Spring Security的多租户应用程序的无状态会话
  7. python Image
  8. php向数据库 插入图片,php-向/从MySQL数据库插入/查看图像
  9. C/C++ union
  10. SpringBoot+Ajax文件上传+FormData表单提交
  11. 20145239 《信息安全系统设计基础》第13周学习总结
  12. 路由器DHCP配置及中继配置
  13. 原生javascript实现拖拽改变table表格行高(html)
  14. NVIDIA Jetson之PWM风扇自定义控制
  15. Github国内镜像网站
  16. 读书寄语:所有的遇见都是有原因的,并不只是偶然
  17. 关于DBC文件的创建
  18. 【HTML 教程系列第 14 篇】什么是 HTML 中的有序列表 ol
  19. 大数据之直播平台数据统计
  20. parentNode和offsetParent的使用

热门文章

  1. 柱状图特殊处理,每个柱子颜色不同,图例对应。
  2. 吉林大学计算机图形学实验_计算机图形学学习笔记(一):图形学概论
  3. 【线性表的原地逆置】
  4. 西门子S7-1500PLC大项目案例 带14台发那科机器人 三个SEW变频器控制的4面转台 阀岛控制130多个气缸 2台西门子TP1200触摸屏
  5. SOLIDWORKS 2016官方正版功能介绍
  6. R中不同类型的基因名间的转换
  7. 附PPT|阿里巴巴实时数仓最新架构图
  8. FS210开发平台板载LED灯控制实验
  9. sql——分号的运用
  10. 如何使用微信web开发者工具调试企业微信